最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客组织在Windows徽标图像中隐藏后门恶意软件

网络安全 快米云 来源:快米云 177浏览

Windows 徽标

安全研究人员发现了“Witchetty”黑客组织的恶意活动,该组织使用隐写术将后门恶意软件隐藏在 Windows 徽标中。

Witchetty 被认为与国家支持的中国威胁 组织 APT10  (又名“蝉”)关系密切。该组织也被认为是 TA410 特工的一部分,之前与 针对美国能源供应商的攻击有关

赛门铁克报告称,该威胁组织正在开展一项新的网络间谍活动,该活动于 2022 年 2 月发起,针对中东的两个政府和非洲的一家证券交易所,并且仍在进行中。

对您使用 Windows 徽标

在这次活动中,黑客更新了他们的工具包以针对不同的漏洞,并使用隐写术从防病毒软件中隐藏他们的恶意负载。

隐写术是将数据隐藏在其他非秘密、公共信息或计算机文件(例如图像)中以逃避检测的行为。例如,黑客可以创建一个工作图像文件,该文件可以在计算机上正确显示,但也包含可以从中提取的恶意代码。

在赛门铁克发现的活动中,Witchetty 使用隐写术在旧的 Windows 徽标位图图像中隐藏 XOR 加密的后门恶意软件。

隐藏有效负载的 Windows 徽标
隐藏有效负载的 Windows 徽标 (Symantec)

该文件托管在受信任的云服务上,而不是威胁参与者的命令和控制 (C2) 服务器上,因此在获取文件时引发安全警报的机会被最小化。

赛门铁克在其报告中解释说:“以这种方式伪装有效负载允许攻击者将其托管在免费、受信任的服务上。 ”

“与从攻击者控制的命令和控制 (C&C) 服务器下载相比,来自 GitHub 等受信任主机的下载引发危险信号的可能性要小得多。”

攻击始于威胁参与者通过利用Microsoft Exchange ProxyShell  (CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207)和ProxyLogon(CVE-2021-26855 和 CVE- 2021-27065) 攻击链在易受攻击的服务器上放置 webshel​​l。

接下来,威胁参与者获取隐藏在图像文件中的后门,这使他们能够执行以下操作:

  • 执行文件和目录操作
  • 启动、枚举或终止进程
  • 修改 Windows 注册表
  • 下载其他有效载荷
  • 泄露文件

Witchetty 还引入了一个自定义代理实用程序,该实用程序使受感染的计算机充当“服务器并连接到充当客户端的 C&C 服务器,而不是相反”。

其他工具包括自定义端口扫描器和自定义持久性实用程序,该实用程序将自身添加到注册表中作为“NVIDIA 显示核心组件”。

除了自定义工具,Witchetty 还使用 Mimikatzand 等标准实用程序从 LSASS 转储凭据,并在主机上滥用“lolbins”,如 CMD、WMIC 和 PowerShell。

TA410 和 Witchetty 仍然对亚洲、非洲和全球的政府和国家组织构成积极威胁。防止其攻击的最佳方法是在发布安全更新时应用它们。

在赛门铁克发现的活动中,黑客利用去年的漏洞来破坏目标网络,利用公开服务器的管理不善。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客组织在Windows徽标图像中隐藏后门恶意软件